Authentifier n’est pas une alternative
Il est important de noter que OpenID Connect, comme toute autre système d’authentification, n’assure pas la sécurité des applications ou des services de données, mais leur fournit des informations plus complètes et plus fiables sur l’utilisateur final que des méthodes d’identification plus simples.
D’une part la sécurité dépendra de ce que les applications et services font de ces informations, d’autre part de leur sécurité intrinsèque. Autrement dit : un système d’authentification ne peut suppléer aux déficiences d’applications ou de ressources présentant des défauts de sécurité.
Pour ce qui est de la sécurité du réseau, on ne doit pas considérer que l’authentification au niveau applicatif (applications et ressources protégées) remplace les contrôles effectués au niveau du réseau, ou supplée à leur insuffisance. Ceux-ci (VPN, firewalls, etc.) restent indispensables, et doivent être appliqués dans toutes les règles de l’art.
Chez i-Tego, nous travaillons à assurer la sécurité en profondeur en ne négligeant aucune bonne pratique.
Pour plus de sûreté : des applications "avec back-end"
Il faut également considérer que seule la programmation côté serveur ("avec back-end") "permet aux sites de restreindre l’accès aux utilisateurs autorisés et de ne servir que les informations qu’un utilisateur à la permission de voir." (MDN Web Docs).
Les autres configurations d’application, telles que la programmation côté client ("sans back-end", par exemple une application "native" ou du code Javascript s’exécutant dans l’agent utilisateur) ne permettent pas d’assurer le même niveau de protection des données.
Ceci étant dit, la sécurité des données ne peut bien évidemment être assurée que si les applications sont parfaitement sous contrôle du propriétaire des données. La sécurité nécessite donc une configuration de données et d’applications situées sur des serveurs du réseau privé de l’entreprise.
Voir : Typologie des applications au regard de la sécurité des données
La priorité d’i-Tego est de protéger vos données
C’est pourquoi nous n’hésitons pas à aller à l’encontre du courant général tendant à disséminer les données et les traitements "dans le Cloud", en dehors des entreprises.
Nous aidons les entreprises à protéger leurs données en créant des applications "avec back-end", des ressources protégées et un serveur d’authentification tous situés dans l’espace de confiance de l’entreprise. C’est à cette seule condition que peut être assurée la sécurité de l’exploitation à distance, que ce soit par des mobiles ou dans le cadre du télétravail.